Gå till innehållet

Integritetspolicy för Senatkoncernens byggnads- och utvecklingsprojekt (BEM)

1. Personuppgiftsansvariga och kontaktuppgifter

Senatfastigheter, Försvarsfastigheter och Senatstationfastigheter Ab

Senatfastigheter och Senatstationfastigheter Ab: Fågelviksgatan 5 A, PB 237, 00531 Helsingfors

E-post: kirjaamo(at)senaatti.fi

Försvarsfastigheter: Isoympyräkatu 10, PB 1, 49401 Fredrikshamn
E-post: kirjaamo(at)puolustuskiinteistot.fi

Telefon: +358 294 830 000

Dataskyddsombud Petri Konttinen, fornamn.efternamn(at)senaatti.fi

2. Syftet med behandlingen av personuppgifter och rättslig grund för behandlingen

De personuppgiftsansvariga (Senatfastigheter, Försvarsfastigheter och Senatstationsfastigheter Ab) använder informationssystemet för hantering av handlingar och uppgifter i bygg- och utvecklingsprojekt. I systemet finns också handlingar som gäller försäljning av objekt och som potentiella köpare kan bekanta sig med genom att logga in på tjänsten.

Behandlingen av personuppgifter sker för fullgörande av en uppgift som ålagts Senatfastigheter och Försvarsfastigheter (1018/2020). I 2.1 i lagen föreskrivs att ”Senatkoncernens affärsverk har till uppgift att bedriva verksamhet inom verksamhetsområdet fastighets- och lokalaffärsverksamhet och för statens behov producera fastighets- och lokaltjänster, tjänster inom ledning och förvaltning av lokaler, tjänster i anslutning till anskaffning, förvaltning och överlåtelse av lokaler samt andra tjänster med direkt anknytning till dem enligt serviceavtal för de kunder som avses i 2 § i affärsverkslagen. Dessutom ska affärsverken ha hand om den statliga fastighetsförmögenhet som affärsverken besitter, om skötseln och förvaltningen av den samt vid behov om överlåtelse, förvärv, skötsel och förvaltning av statens fastighetsförmögenhet och annan anknytande egendom.” Behandlingen av personuppgifter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar de personuppgiftsansvariga (artikel 6.1 c i GDPR). Senatfastigheter, Försvarsfastigheter och Senatstationsfastigheter Ab är i fråga om den behandling av personuppgifter som beskrivs i denna beskrivning sådana gemensamt personuppgiftsansvariga som avses i artikel 26 i EU:s allmänna dataskyddsförordning (GDPR).

3. Behandlade personuppgifter och grupper av registrerade

Systemanvändare hos de personuppgiftsansvarigas personal:

Systemet innehåller följande användarinformation för att hantera åtkomst och distribution: förnamn, efternamn, e-post, telefonnummer, standarduppgift i projektet, språk, organisations/kontaktuppgifter.

Personuppgifter ingår i de vinnande anbudsgivarnas CV-bilagor. Dessutom ingår personuppgifter i mötesprotokollen för avtalsparterna och deras underleverantörer samt i personlistorna på byggarbetsplatserna.

Potentiella köpare av objekt som säljs av personuppgiftsansvariga:

I systemet finns handlingar som hänför sig till försäljningen av de personuppgiftsansvarigas objekt och som potentiella köpare kan ta del av genom att logga in på tjänsten. I systemet sparas personerna namn, e-post och eventuellt företagsuppgifter (namn och adress).

4. Regelmässiga uppgiftskällor

Samarbetspartner till de personuppgiftsansvarigas projekt och användare av koncernens system:

De personuppgiftsansvariga eller deras företrädare lämnar uppgifter om den avtalspart som använder systemet till den systemleverantör som upprättar användaruppgifterna i systemet.

Anbudsgivarna registrerar sig som anbudsgivare och lämnar själva in sina anbud i systemet.

De avtalsparter som använder systemet och deras underleverantörer sparar andra handlingar som hänför sig till projekten.

Potentiella köpare av objekt som säljs av personuppgiftsansvariga:

Personerna lämnar själva sina uppgifter (personerna begär per e-post om behörighet till projektbanken).

5. Mottagare eller mottagargrupper av personuppgifter

Utöver till systemanvändarna har uppgifter överförts till tjänsteproducenten för utförande av service- och stöduppgifter.

6. Överföring av uppgifter utanför EU eller EES

Uppgifterna överförs inte till länder utanför EU eller EES. Uppgifterna behandlas endast i Finland.

7. Personuppgifternas skydd

Den personuppgiftsansvariga har vidtagit de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och mot oavsiktlig eller olaglig radering, ändring, utlämnande, överföring eller annan olaglig behandling av uppgifter.

Uppgifterna i systemet är skyddade med hjälp av en brandvägg och andra tekniska medel. För att kunna använda systemet krävs ett personligt användar-ID och lösenord.

Användarna kan endast se handlingar om ett projekt eller objekt som hänför sig till den egna uppgiften eller avtalet.

8. Uppgifternas lagringstid och principer för hur denna fastställs

Material som hänför sig till byggnader och andra objekt förvaras så länge som de personuppgiftsansvariga förvaltar dem.

De anbud jämte personuppgifter som lagrats i konkurrensutsättningssystemet kan raderas 6–12 månader efter att anbudsförfarandet har avgjorts.

Projektbankerna för de objekt som ska säljas stängs när affären har slutförts. Efter detta är det tekniskt möjligt att radera personuppgifterna.

9. De registrerades rättigheter

En registrerad person kan utöva sina rättigheter enligt dataskyddsförordningen i följande ärenden:

  • Rätt till tillgång till personuppgifter (information om behandlingen av egna personuppgifter)
  • Rätt att få sina personuppgifter korrigerade
  • Rätt att få sina personuppgifter raderade
  • Rätt att begränsa behandlingen av sina personuppgifter
  • Rätt att inte bli föremål för automatiserat beslutsfattande utan att veta om det.

Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 15–22 i GDPR. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från det att begäran mottagits samt ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form, ska informationen om möjligt tillhandahållas i elektronisk form, om den registrerade inte begär något annat (artikel 12.3 i GDPR).

Den registrerade har också rätt att göra anmälan till dataombudsmannen.

Ge feedback